امنیت شبکه هک و امنیت

مواظب باشید!! بدافزار Cryptojacking جدید که به سرورهای Apache ، Oracle ، Redis حمله می کند

به گزارش مجله خبری بلک نیوز (BlackNews.Ir) محققان امنیتی در واحد 42 کاملاً مراقب گروه cybercrime group Rocke مستقر در چین هستند. این گروه هکری در سال 2019 به دلیل استفاده از بدافزارهای  مبتنی بر ابر (cloud-targeted malware) شناسایی شد و از آن زمان به بعد ، شرکت تحقیقات امنیت سایبری این بدافزار را در رادار خود قرار داد.

حالا یک بار دیگر ، کارشناسان دریافتند که گروه هکری  Rocke با انگیزه مالی از قطعه جدیدی از بدافزار Cryptojacking به نام Pro-Ocean برای هدف قرار دادن همه سرورهای آسیب پذیر Apache ActiveMQ ، Oracle WebLogic و Redis استفاده می کند.

نرم افزارهای مخرب Pro-Ocean Cryptojacking اکنون با قابلیت های پیشرفته روت کیت و کرم بوجود می آیند. نه تنها این بلکه بندرها از روشهای جدید اجتناب برای دور زدن شرکتهای امنیت سایبری استفاده می کنند.

Malware-بد افزار

این بدافزار جدید خود را تغییر شکل داده  است ، و یک ماینر XMRig را بسته بندی کرده است ، که برای استفاده در هر عملیات Cryptojacking معتبر نیست. به همین دلیل است که کارشناسان امنیتی به نکات کلیدی در مورد بدافزار اشاره کرده اند و در اینجا موارد زیر آورده شده است: –

  • در این بدافزار ، باینری با استفاده از UPX جمع آوری می شود ، که بدین معنی است که بدافزار واقعی درون باینری پر شده و در حین اجرای باینری باج گیری و انجام می شود.
  • این بدافزار جدید دارای ابزارهای تجزیه و تحلیل استاتیک پیشرفته است که به راحتی می تواند بسته های باینری UPX را باز کرده و محتوای آنها را اسکن کند. اما در این هدف Cryptojacking ، رشته جادویی UPX از باینری حذف شده است. بنابراین ، ابزارهای تجزیه و تحلیل استاتیک نمی توانند این باینری را به عنوان UPX تشخیص دهند و آن را باز کنند.
  • در این مورد از بدافزار ، همه ماژول ها در داخل باینری بسته بندی نشده جمع آوری می شوند.
  • در داخل ماژول gzipped ، باینری XMRig پر می شود و توسط UPX بسته بندی می شود که رشته جادویی UPX را ندارد.

بدافزار Pro-Ocean در Go ساخته شده است که با باینری معماری x64 سازمان یافته است و به طور کلی برنامه های ابری معمولی مانند Apache ActiveMQ ، Oracle Weblogic و Redis را هدف قرار می دهد.

Modules & Functions – ماژول ها و توابع

در این بدافزار جدید ، چهار ماژول Pro-Ocean وجود دارد و این ماژول ها در داخل باینری فشرده شده و با چهار عملکرد مختلف یکی یکی برداشته و اجرا می شوند. و در اینجا توابع و ماژول های ذکر شده در زیر آورده شده است:

 :Four functions

  • main_ReleaseExe
  • main_ReleaseExelk
  • main_ReleaseExerkt
  • main_ReleaseExescan

 :Four modules

  • Rootkit Module
  • Mining Module
  • Watchdog Module
  • Infection Module

لیست نرم افزارهای  آسیب پذیر

کارشناسان امنیتی لیست کاملی از نرم افزارهای آسیب پذیر Pro-Ocean را که مورد سو استفاده قرار گرفته اند را منتشر کرده اند که به شرح زیر خواهد بود:

  • Apache ActiveMQ – CVE-2016-3088.
  • Oracle WebLogic – CVE-2017-10271.
  • Redis – unsecured instances.

طبق گزارشی که کارشناسان ادعا  کرده اند ، Pro-Ocean همچنین با از بین بردن سایر بدافزارها و ماینرها ، که  این موارد شامل Luoxk ، BillGates ، XMRig و Hashfish است و همه اینها بر روی میزبان مورد مذاکره اجرا می شوند.

علاوه بر این ، این بدافزار جدید همراه با یک ماژول ناظر همراه است که در Bash نوشته شده است که پایداری را تضمین می کند و مراقب است که تمام فرآیندهایی را که بیش از 30٪ CPU را که با هدف استخراج موثر Monero استفاده می کند ، رد کند.

جدا از این ، هنوز اطلاعات بیشتری برای استخراج وجود ندارد ، زیرا کارشناسان در تلاشند تا تمام جزئیات لازم در مورد این بدافزار را منتشر کنند. بنابراین، لیستی از نرم افزار های آسیب پذیر هنوز هم محدود است. با این حال، این بدافزار یک تصویر است که نشان می دهد پاسخ های امنیتی مبتنی بر عامل ارائه دهندگان سرویس های مبتنی بر ابر(cloud providers) است.

منبع : Gbhackers

محمدرضا احمدی منش

عاشق فناوری و تکنولوژی
مرا دنبال کنید:

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *